Japan
サイト内の現在位置
UNIVERGE IXシリーズにおける複数の脆弱性
掲載番号:NV24-009
脆弱性情報識別番号:CVE-2024-11013、CVE-2024-11014
概要
UNIVERGE IX/IX-R/IX-Vシリーズには、複数の脆弱性が存在します。
・当該製品の管理画面にログインしているユーザがWebGUIのメッセージを改ざんし装置に送信することで、当該製品上で任意のCLIのコマンドが実行される (CVE-2024-11013)
・当該製品の管理画面にログインしているユーザが細工されたリンクにアクセスした場合、当該製品の管理画面上で意図しない画面が表示される(CVE-2024-11014)
対象製品
UNIVERGE IXシリーズ
対象となる製品のバージョン
CVE-2024-11013
・UNIVERGE IXシリーズ、Ver9.2から10.10.21まで
Ver10.8はVer10.8.27まで、Ver10.9はVer10.9.14までのバージョン
・UNIVERGE IX-R/IX-Vシリーズ、Ver1.2.15およびそれ以前
CVE-2024-11014
・UNIVERGE IXシリーズ、Ver9.2から10.10.21まで
Ver10.8はVer10.8.27まで、Ver10.9はVer10.9.14までのバージョン
対処方法
以下のページを参照し、アップデートを実施してください。
UNIVERGE IXシリーズ
https://jpn.nec.com/univerge/ix/Support/Security-Info/JVN/JVN53958863.html
UNIVERGE IX-R/IX-Vシリーズ
https://jpn.nec.com/univerge/ix-nrv/Support/Security-Info/JVN/JVN53958863.html
または、以下の回避策を適用してください。
・WebGUIを無効にする
参考情報
CVE-2024-11013
https://www.cve.org/CVERecord?id=CVE-2024-11013
CVE-2024-11014
https://www.cve.org/CVERecord?id=CVE-2024-11014
謝辞
本脆弱性の発見者である 株式会社Flatt Security RyotaK様 に厚く御礼申し上げます。
更新情報
- 2024/11/29
-
UNIVERGE IXシリーズ を登録しました。